我在Azure上部署了多个Web API,但没有应用身份验证,因此任何人都可以访问这些Web API。
现在我想对Web API应用身份验证,而不是在不同的Web API中实现相同的身份验证逻辑,我发现Azure API网关(API管理)是一个潜在的解决方案。
通过Azure API管理文档,我了解到可以应用诸如validate-jwt之类的策略来验证对后端Web API的请求。然而,后端Web API的终结点仍然向用户开放。
那么,我该如何隐藏它们?我是否必须定义子网络或者Azure API管理是否有此功能?
最近我也遇到了同样的问题。最终,我通过使用“IP限制”功能找到了解决方案。请按照以下步骤操作:
1)在Azure门户中进入API管理概述页面,复制VIP。
2)在您的Web APP > Networking中
3)粘贴您的VIP
微软的解决方案:如何在Azure API Management中使用客户端证书认证来保护后端服务
采用这种方法,任何未经授权的尝试访问后端服务的操作都会导致403 - Forbidden的响应。
您可以使用自签名证书,而不是使用受信任的CA签名证书($$)。我选择实现一个Azure Key Vault,在其中生成了一个新的证书,将其下载为*.PFX文件,并按照文章中所述上传到我的API管理实例中。
以下是@PramodValavala-MSFT的回答:
https://github.com/MicrosoftDocs/azure-docs/issues/26312#issuecomment-470105156
以下是选项:
p.s. 在我的情况下,我想使用IP限制,因为它允许在API管理网关上保留所有的身份验证。
或者您可以使用以下方法:
来保护Azure API管理服务与后端服务的通信。
请了解如何在Azure API管理中设置TLS,以便所有与后端API的连接都必须通过API代理进行。
你的后端应用是Azure Function应用程序还是App Service应用程序?
如果是这样,托管标识可能是限制访问的最简单方法。无需在API管理中存储客户端密钥/证书+不像IP白名单方法那样不稳定。
<authentication-managed-identity>策略,并引用步骤1中的AAD应用程序。我在使用Terraform将Azure Functions限制为API Management中更详细地介绍了这种方法。
参考: